Алексей Лукацкий рассмотрел следующие документы:

• Рекомендации ФСТЭК (Федеральной службы по техническому и экспортному контролю) по обеспечению безопасности объектов КИИ (критической информационной инфраструктуры) при реализации дистанционного режима работы сотрудников и рекомендации ФСТЭК (для служебного пользования) о мерах защиты информации, принимаемых в информационных системах при работе по удаленному доступу;
• Уведомление НКЦКИ (Национального координационного центра по компьютерным инцидентам) об угрозах безопасности информации, связанных с пандемией коронавируса;
• Рекомендации Банк а России по организации работы сотрудников вне зависимости от того, работают они из офиса или удаленно в условиях распространения коронавируса.

В целом, эксперту эти документы показались излишне технократичными и направленными на описание только технических мер обеспечения ИБ, в то время как сообществу важнее было бы увидеть советы и изменения в правовых нормах, связанных с организационными и процессными мерами.

Будут ли смещаться сроки обновления сертификатов и отсрочки по проверкам средств защиты и финансового ПО, которое должно пройти оценку соответствия по требованиям ФСТЭК и Банка России?

Опираясь на действующую нормативно-правовую базу, Алексей Лукацкий проанализировал, как данные рекомендации можно применить в условиях удаленной работы, и это вызвало у него ряд вопросов.

1. При оказании услуг мониторинга ИБ ФСТЭК и центры ГосСОПКИ требуется, чтобы у SOC были свое помещение и своя соответствующая требованиям ИБ информационная система. Как выполнить это требование в условиях «удаленки»?
2. Пользователи, работающие со своих личных устройств с персональными данными, невольно расширяют границы их использования. Как ФСТЭК и Роскомнадзор рекомендуют вести себя операторам персональных данных в таких ситуациях?
3. ЦБ, ФСБ (а в ряде случаев и ФСТЭК) рекомендуют использовать сертифицированную крипографию. Как выполнить это требование в условиях дистанционной работы? Не с технической точки зрения, а с точки зрения всех регламентов, формуляров, инструкций, например № 152 и др.?
4. Надо ли приостанавливать сбор данных в ЕБС и как сейчас выполнять весь спектр нормативно-правовых актов, связанных с работой ЕБС?
5. Будут ли смещаться сроки обновления сертификатов и отсрочки по проверкам средств защиты и финансового ПО, которое должно пройти оценку соответствия по требованиям ФСТЭК и Банка России?
6. Как выполнять внешний аудит, согласно требованиям ЦБ? Допустимо ли проводить аудит дистанционно или можно отсрочить его проведение?
7. Можно ли дистанционно проводить оценку уровня доверия и сертификационные испытания по требованиям ФСТЭК?
8. Как утверждать/заверять решения совещаний, проводимых дистанционно с помощью онлайн-конференций? Как дистанционно выстраивать процессы, пока еще завязанные на бумажный документооборот?
9. Каковы рекомендации по применению усиленной электронной подписи при дистанционной работе?
10. Надо ли обновлять контакты лиц, отвечающих за ИБ или за обработку персональных данных, которые собирали регуляторы в рамках выполнения своих обязанностей?

Эксперт уверен, что эти вопросы требуют внесения изменений в действующие нормативные правовые акты, чтобы при возникновении в дальнейшем подобных следующие критических ситуаций можно было сразу организовать слаженную и безопасную дистанционную работу.